AWS WAFもAWS ShieldもAWSが提供しているセキュリティサービスで、外部のサイバー攻撃から、AWS上のアプリケーションを守る役割を担います。
似たようなサービスだと思われがちですが、AWS WAFとAWS Shieldは実は完全に異なるサービスです。防げる攻撃はもちろん守備範囲も異なります。
この記事では、AWS WAFとAWS Shieldの違いについてわかりやすく解説します。この2つのサービスを正しく理解し適切なセキュリティ対策を取りましょう!
目次
- まず結論から:AWS WAFとAWS Shieldの違いとは
- そもそもAWS WAFとは?
- AWS WAFのメリットとは
- そしてAWS Shieldとは?
- AWS WAFもAWS Shieldも導入すべき!クラウド環境のセキュリティを強固に
- おまけ:AWS WAF・AWS Shieldと組み合わせたいサービス
- まとめ
まず結論から:AWS WAFとAWS Shieldの違いとは
まず結論から説明すると、AWS WAFとAWS ShieldはどちらもAWSが提供しているセキュリティサービスですが、守備範囲と防御できる攻撃が異なります。
AWS ShieldはAWSが提供しているDDoS攻撃対策サービスで、AWS Shield StandardはL3とL4、AWS Shield AdvancedはL3、L4、L7へのDDoS攻撃を対策できます。
一方、AWS WAFはL7を保護するサービスです。L7へのDDoS攻撃を対策できるうえ、SQLインジェクションやクロスサイトスクリプティング(XSS)など、情報漏えいやアプリケーションの改ざんになり得る脆弱性を突く攻撃を防御できます。
| AWS WAF | AWS Shield Standard | AWS Shield Advanced | |
|---|---|---|---|
| L3ネットワーク層 | × | 〇 | 〇 |
| L4トランスポート層 | × | 〇 | 〇 |
| L7アプリケーション層 | 〇 ※DDoS以外の攻撃も 防御可能 | × | 〇 |
そもそもAWS WAFとは?
AWS WAFとは、AWSが提供するWAFです。WAFはWeb Application Firewall (ウェブアプリケーションファイアウォール)の略称で、Webサイトを含めたWebアプリケーションをサイバー攻撃から守ります。
AWS WAFについてわかりやすくまとめた資料があります。こちらからダウンロードしてください。
AWS WAFで防げる攻撃
AWS WAFはOSI参照モデルの第7層(L7)であるアプリケーション層への防御に特化しています。アプリケーション層への攻撃の代表例として下記の3つの攻撃手法が挙げられます。
1.SQLインジェクション攻撃:アプリケーションの脆弱性により不当な「SQL」文が作成されてしまい、「注入(injection)」されることによって、データベースのデータを不正に操作される攻撃のことで、データの改ざんや情報漏えいなどの被害を引き起こします。
2.クロスサイトスクリプティング(XSS)攻撃:Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃です。ユーザーがサイトに設置されたフォームに情報を入力・送信する際に、埋められた悪質なHTMLスクリプトが実行され、入力された個人情報やCookie情報などが攻撃者に送られます。
3.OSコマンドインジェクション攻撃:Webサイトに向けて不正な入力を行うことにより、サーバ側で想定していない動作をさせる攻撃です。OSコマンドインジェクション攻撃でWebサイトの改ざんや情報漏えいになどの被害を引き起こします。
また、AWS WAFのレートベースのルールを利用することでアプリケーション層に対するDDoS攻撃を緩和することができます。レートベースを設定することで、各IPアドレスからのアクセス数がカウントされ、5分間あたりのアクセス数がしきい値を超えるとそのIPアドレスを自動的にブロックすることができます。
詳しくはこちら:
AWS WAFのメリットとは
AWS上のアプリケーションをサイバー攻撃から守るために、AWSユーザーであればAWS WAFを導入すべきです。
さまざまなサイバー攻撃を防げるのはもちろんですが、ここではAWS WAFを導入することの他のメリットについて紹介します。
初期費用も利用料金も安い
初期費用と利用料金が安いというのがAWS WAFの大きな魅力です。近年主流となるクラウド型WAFと同様に、AWS WAFの導入に初期費用はかかりません。そのうえ、AWS WAFの利用料金は月額20ドル程度なので、非常に安価なサービスとなっております。
コスト節約の観点からもAWS WAFを導入する企業が増えています。
詳しくはこちら:
導入がとても簡単
AWS WAFは、Amazon CloudFront、Application Load Balancer(ALB)やAmazon API Gatewayの3つのAWSサービスと連携しています。いずれかのサービスをすでに利用していれば、有効設定をするだけでAWS WAFを簡単に導入できます。
さらに、AWSマネージドルールやAWS WAF自動運用サービス『WafCharm』を利用すると、ルールの設定を自分自身で設定しなくてもAWS WAFの保護を受けることができます。
詳しくはこちら
従来のWAFに比べて簡単に導入できることからAWS WAFを導入するAWSユーザーが増えています。
そしてAWS Shieldとは?
AWS Shieldとは、AWSが提供しているDDoS攻撃対策サービスです。AWS ShieldにはAWS Shield StandardとAWS Shield Advancedという2つのタイプがあります。
ここからは、AWS Shieldのタイプ別の違いについて紹介します。
AWS Shield Standardとは?
AWS Shield StandardはOSI参照モデルの第3層(L3)ネットワーク層と第4層(L4)トランスポート層へのDDoS攻撃を検出・緩和できるサービスです。
Amazon CloudFrontやAmazon Route 53を利用すると自動的に適用されるので追加の設定は不要です。また、利用料金もかからないので、利便性が高く導入をおすすめします。
AWS Shield Advancedとは?
AWS Shield AdvancedはAWS Shield Standardの上位プランとなります。L3とL4だけでなく、AWS Shield Advancedはアプリケーション層(L7)の保護もできます。またDDoS攻撃のほか、ボリュメトリックボットや脆弱性を悪用した攻撃なども対処できるので、高いレベルの保護が実現できます。
また、DDoS攻撃の統計レポートから異常を検知する機能やDDoS攻撃対応の専門チームによる24時間365日のサポートが付いているので、安心したDDoS対策を取ることができます。
高度なDDoS対策をできる一方、AWS Shield Advancedは、月額の利用料金が3,000ドル〜の年間契約となります。また、試用期間や無料トライアルが設けられていないので、決して気軽に導入できるとはいえないでしょう。
AWS Shieldで防げる攻撃
先述の通り、AWS Shield StandardはL3とL4へのDDoS攻撃、そしてAWS Shield AdvancedはL3、L4とL7へのDDoS攻撃に有効です。
DDoS攻撃の例として、下記の手法が挙げられます。
1.TCP SYNフラッド攻撃:TCPで通信を開始する際にSYNパケットのみを大量に送り付け、サーバのキャパシティオーバーを謀る攻撃手法。攻撃者はサーバにSYNパケットを送信しますが、サーバから返ってくるACKパケットには返信しません。サーバがそのままレスポンス待ちの状態となり、ほかのユーザーが接続できなくなります。
2.DNSフラッド攻撃:攻撃者が大量なDNSリクエストを送信することで、DNSサーバに負荷をかける攻撃です。DNSサーバはドメイン名とIPアドレスを変換する仕組みを提供するサーバで、DNSフラッド攻撃によってDNSサーバの接続が遅くなり、関連するWebサイトが閲覧できなくなります。
3.HTTPフラッド攻撃:HTTPフラッド攻撃は、Webアプリケーションの実際の利用者を装ってサーバへ大量なHTTPリクエストを送り付ける攻撃です。Webサーバの負荷が大きくなり、サーバの損害になる可能性もあります。
AWS WAFもAWS Shieldも導入すべき!クラウド環境のセキュリティを強固に
AWS WAFとAWS Shield、どちらを導入すべきかを悩む人もいますが、結論からいうと、両方を導入すべきです。
AWS WAFとAWS Shieldの守備範囲と対策できる攻撃の種類が異なるため、どちらかを導入したから安心できるというわけではありません。セキュリティが強固な環境を実現するためには、AWS WAFもAWS Shieldも導入をおすすめします。
おまけ:AWS WAF・AWS Shieldと組み合わせたいサービス
AWS WAFやAWS Shieldなどのセキュリティサービスのほか、DDoS攻撃対策のためAmazon CloudFrontを活用するケースもあります。
Amazon CloudFrontは、動画やアプリケーションなどのコンテンツを配信できるCDNの役割を持っているサービスです。セキュリティサービスではありませんが、Amazon CloudFrontを活用することでサーバに直接届くアクセスを抑えることができ、DDoS攻撃を緩和できる可能性があります。
とはいえ、Amazon CloudFrontは、セキュリティサービスではないためDDoS攻撃の対策には、AWS ShieldやAWS WAFの導入をおすすめします。
さらに、脆弱性を突く攻撃やDDoS攻撃のほか、AWS WAFやAWS Shieldでも防げないセキュリティ攻撃として、マルウェアの攻撃や標的型攻撃といった種類の攻撃があります。このような攻撃に対しては、サードパーティのウイルス対策ソフトをサーバに導入するといった対策が効果的です。
最後に、万が一攻撃を受けてしまった場合は、AWS GuardDutyやAmazon Detectiveといったサービスを有効化しておくことで、検知や調査の手間が大幅に削減できる場合があります。これらの、AWSで提供されているセキュリティ対策用サービスを複数組み合わせることで、強固なセキュリティ対策を講じましょう。
まとめ
AWS WAFもAWS ShieldもAWSが提供しているセキュリティサービスですが、保護するレイヤーや対策する攻撃が違うため全く異なるサービスとなります。
AWS WAFはOSI参照モデルの第7層(L7)であるアプリケーション層の防御に特化していますが、DDoS攻撃だけでなくSQLインジェクション攻撃やXSS攻撃などほかのサイバー攻撃も防御できます。一方、AWS ShieldはL3とL4へのDDoS攻撃を対策できます。
保護するレイヤーや防御するサイバー攻撃が異なるため、クラウド環境のセキュリティを強化するためにはAWS WAFとAWS Shieldの両方も導入すべきです。
